Aufstand der Router

Hinter den Kulissen eines Router-Botnets

Trends & News | News

Was bislang nur theoretisches Angriffsszenario war, ist jetzt Realität: Manipulierte WLAN-Router spähen ihre Nutzer aus und übertragen vertrauliche Daten geradewegs an Cyber-Kriminelle. c’t hat ein Router-Botnet analysiert und gemeinsam mit dem Landeskriminalamt Niedersachsen vom Netz genommen.

Es ist das fast perfekte Cyber-Verbrechen: Hacker haben auf etlichen Routern ein Schnüffelprogramm installiert, das Zugangsdaten aus dem Netzwerkverkehr extrahiert und an zentrale Sammelstellen überträgt. Die Infektion betrifft alle Geräte, die über den manipulierten Router ins Internet gehen: Computer, Tablets und sogar Smartphones. Kein Virenscanner kann vor dem trojanisierten Router schützen.

Die manipulierten Router führen ein Doppelleben: Während sie weiterhin, wie vom Besitzer gewohnt, das lokale Netz mit Internet versorgen, läuft auf ihnen ein Schnüffeltool, das den durchgeleiteten Internetverkehr kontinuierlich nach Zugangsdaten durchforstet. Der oder die Täter hatten es vor allem auf die Router-Firmware DD-WRT abgesehen, die auf ein Linux-Fundament aufsetzt und für die Geräte etlicher Hersteller angeboten wird (siehe c‘t-Link). Einige Router, etwa solche von Buffalo, werden mit vorinstalliertem DD-WRT ausgeliefert, viele andere kann man damit nachrüsten.

Wie die meisten Router machen sich auch die mit DD-WRT ausgestatteten Exemplare nicht deutlich genug bemerkbar, wenn eine neue Firmware-Version zur Installation bereitsteht. Da ist es kaum verwunderlich, dass die Router-Software in den meisten Fällen nur selten oder gar nicht aktualisiert wird – mit der Folge, dass Sicherheitslücken über Jahre hin unbehandelt bleiben. Diese klaffen in einem System, das dem Internet schutzlos ausgeliefert ist.

Im aktuellen Fall haben die Eindringlinge wahrscheinlich eine bereits seit dem Jahr 2009 bekannte Schwachstelle ausgenutzt, die laut den DD-WRT-Entwicklern kurz nach dem Entdecken geschlossen wurde. Die Lücke befindet sich im Webserver, der das Webinterface des Routers ausliefert. Über eine speziell präparierte HTTP-Abfrage kann ein Angreifer beliebige Shell-Befehle einschleusen. Ausnutzen lässt sich die Lücke nur, wenn der Router so konfiguriert wurde, dass das Webinterface auch über das Internet erreichbar ist. Standardmäßig ist das nicht der Fall – trotzdem listet die Spezialsuchmaschine Shodan über 25 000 DD-WRT-Router auf, die auf Port 80 oder 8080 antworten.

Hinter feindlichen Linen

Der oder die Täter haben die vier Jahre alte Schwachstelle ausgenutzt, um eine manipulierte Firmware auf den Routern zu installieren. Diese wurde unter anderem um das Open-Source-Tool dsniff ergänzt, das darauf spezialisiert ist, unverschlüsselt übertragene Zugangsdaten jeglicher Art aus Netzwerkverkehr zu extrahieren. Dreh- und Angelpunkt des Angriffs sind kompromittierte Webserver, bei denen die Router regelmäßig ihre Datenbeute abliefern und frischen Schadcode abholen – vergleichbar mit dem Command-and-Control-Server eines Botnets aus Windows-Rechnern.

Das Grundgerüst des Bots entdeckten wir in dem Skript /etc/init.d/rcS, das bei jedem Routerstart ausgeführt wird: Es pingt zunächst den DNS-Server von Google (8.8.8.8), um herauszufinden, ob eine Verbindung zum Internet besteht. Ist dies der Fall, werden weitere Skripte von kompromittierten Webservern nachgeladen. Über das Boot-Skript ermitteln die Router auch ihre externe IP-Adresse sowie das Land, indem sie sich befinden. Diese Daten fließen später in die Benennung der Beute-Dateien ein. Abschließend startet es ein Skript namens ds_mod.sh, welches das Schnüffelprogramm dsniff steuert. Für das Abliefern der Beute ist der kommandozeilenbasierte FTP-Client wput zuständig. Der Befehl, der ihn aufruft, enthält FTP-Zugangsdaten für zwei Server, die zum Zeitpunkt der Analyse gültig waren und wertvolle Hinweise lieferten. Das lässt darauf schließen, dass der oder die Täter keine allzu große Angst davor hatten, dass ihr Code im Router entdeckt wird.

Als Datenzulieferer wurden nicht nur Router eingespannt, sondern auch einige Dreambox DVB-Receiver. Die Grundproblematik ist hier die gleiche: Die Linux-Kästchen werden häufig mit ebenso alten wie verwundbaren Firmware-Versionen betrieben, teilweise sogar mit den Standard-Zugangsdaten. Um die Aufzeichnung über das Internet programmieren zu können, richten die Besitzer im Router eine Port-Weiterleitung auf den Webserver der Dreambox ein – eine explosive Mischung. Schnüffelprogramme wie dsniff laufen auf Dreambox-Receivern und anderen Embedded-Systemen ebenso gut wie auf Routern. Zwar kommt der Internetverkehr nicht standardmäßig an diesen Geräten vorbei, mit Standardtechniken wie ARP-Spoofing kann ihn der Angreifer jedoch durch sie hindurch schleusen.

Datenschau

Auf den FTP-Servern befanden sich zehntausende Dateien mit gestohlenen Zugangsdaten – darunter auch etliche von deutschen Nutzern. Einige Logins waren eindeutig hiesigen Unternehmen zuzuordnen. So hat etwa ein Router in einer großen deutschen Anwaltskanzlei die Mail-Zugangsdaten aller Juristen abgegriffen. Unter diesen Voraussetzungen ist die Verschwiegenheitspflicht nach § 2 und 5 der Berufsordnung der Rechtsanwälte (BORA) kaum zu wahren. Ebenfalls betroffen ist eine Bäckereikette aus Süddeutschland. Mit den vorgefundenen Zugangsdaten konnte man auf die Bilder der in den Filialen aufgestellten Überwachungskameras zugreifen. Insgesamt fanden wir Tausende IP-Adressen, das LKA konnte darunter etwa 30 deutsche Opfer identifizieren und schriftlich warnen.

Einer der missbrauchten FTP-Accounts gehört zu einem Webspace-Paket von Strato. Der Strato-Kunde hat unwissentlich selbst einen gehackten Router betrieben, über den der oder die Täter an die FTP-Zugangsdaten gekommen sind. Bei der zweiten Datenhalde handelt es sich um ein vergessenes Linux-System im baltischen Estland. Hier sorgte ein Skript sogar regelmäßig dafür, dass die von Routern hochgeladenen Einzeldateien zu handlichen Tar-Archiven verpackt wurden.

Anhand der Dateiinformationen konnten wir feststellen, dass im Juli zunächst der Strato-Server genutzt wurde; im August sind der oder die Angreifer auf den estländischen Server umgestiegen. Nachdem wir das LKA über die FTP-Server informiert hatten, gingen sie innerhalb einer Woche vom Netz. Grund zur Entwarnung ist das allerdings nicht, denn der oder die Täter waren bei Redaktionsschluss noch nicht gefasst. Die polizeilichen Ermittlungen dauern allerdings noch an.

Angriffsziel Router

Bei dem von uns aufgedeckten, auf den Namen Linux/Flasher.A getauften Router-Botnet handelt es sich wahrscheinlich um das erste seiner Art, das hierzulande aktiv war. Es ist allerdings nur eine Frage der Zeit, bis es Nachahmer findet. Denn nach verwundbaren Routern muss man im Netz nicht lange suchen. Auch die technische Hürde ist niedrig: In den meisten Routern schlägt ein Linux-Herz, passende Schnüffelprogramme sind schnell kompiliert.

Router sind die Achillesferse kleinerer Netzwerke. Beugen Sie vor, indem Sie regelmäßig überprüfen, ob die Firmware Ihres Routers auf dem aktuellen Stand ist. Liefert der Router-Hersteller trotz bekannter Schwachstellen kein Update, sollten Sie dies als Warnsignal verstehen und die Hardware austauschen. Darüber hinaus gilt mehr denn je: Ändern Sie die vom Hersteller vorgegebenen Passwörter und machen Sie so wenig Router-Dienste wie nur irgendwie möglich über das Internet erreichbar. Der Netzwerkcheck von heise Security (siehe c‘t-Link) verrät Ihnen, welche Dienste derzeit nach Internet-Anfragen lauschen.

Wer einen DD-WRT-Router betreibt und den Verdacht hat, dass dieser mit Linux/Flasher.A infiziert ist, kann sich via SSH mit dem Gerät verbinden und mit dem Befehl ps aux | grep [d]sniff überprüfen, ob das Schnüffelprogramm ausgeführt wird. Unter dem c‘t-Link finden Sie ein Python-Skript, das diesen Job weitestgehend automatisch erledigt. Darüber hinaus sollten Sie das Startskript des Routers mit cat /etc/init.d/rcS nach Auffälligkeiten durchsuchen. (rei)

Artikel kostenlos herunterladen

weiterführende Links

Kommentare

Anzeige